最近ファイアウォールは本当に必要ですか?[閉まっている]


13

gufwのようなものをインストールする必要がありますか?


5
この質問は、客観的で正しい答えを得るには広すぎると思います。
ステファノパラッツォ

私はあなたがスタンドアロンのものではなく、ホストベースのファイアウォールを意味すると仮定しています。しかし、これは明確な答えには広すぎるトピックであることにStefanoに同意します。多くはコンテキストに依存します-システムがどこにあるか、実行しているサービスは何か、他のセキュリティ制御はどこにあるか、稼働時間の価値(サービス拒否)およびデータは何であるか(金銭的、専有、かけがえのない)など。慎重なセキュリティの一般原則は、複数の保護を使用することです。日常の活動の邪魔にならない場合は、セキュリティの層を追加しても、欠点はほとんどなく、おそらく利点があります。
-belacqua

また、sudo nmap localhost。現在開いているポートはありますか?(概算)
belacqua

sudo nmap localhostこのコマンドは機能しません
TheXed

1
@TheX thatsはnampがインストールされていないためですか?
-theTuxRacer

回答:


7

はい、これまで以上に。昔からインターネットはそれほど変わっていません。そのため、最近ではファイアウォールが依然として必要です。基本的なルールを持つgufwのようなファイアウォールが機能します。CLIオタクの場合は、iptablesを使用してください;)


ダンギット、あなたがダウン投票した理由をコメントしてください。
theTuxRacer

1
vote ++; echo "Use iptables" - I assume I\'m a real CLI geek then :p;
レーケンシュタイン

1
間違った答え。
-psusi

1
@psusiホストベースのファイアウォールを使用するのは良い考えであるという前提に同意しないため、またはufw / iptablesの評価に同意しないため、これは間違っていると言っていますか?
-belacqua

1
@jgbelacquaは、Ubuntuデスクトップシステムのホストベースのファイアウォールは無意味であり、これまで以上に必要ないため、正しくありません。Manishがリンクした質問には、理由について非常に良い説明があります。
-psusi


3

疑う余地なく、たった1つの日和見的takes索で問題を終わらせることはありません。混乱は、ファイアウォールの背後にいることを確認する方法にあります。

これについては、ここで詳しく説明します:プレインストールまたは自動ファイアウォールはありますか?要するに、ホームネットワーク上で、ワイヤレスルーターの背後にいる場合、ルーターは通常ファイアウォールの役割を果たします。明らかに、何かに依存する前に製造元に確認することをお勧めします(ルーターの構成にも依存します)。

GUFWは、それ自体がファイアウォールではなく、ubuntuのデフォルトファイアウォール(UFW)のGUIにすぎません。UFWはデフォルトでオフになっています。一般的に、潜在的な競合を避けるために、ファイアウォールを1つだけ実行することをお勧めします。したがって、信頼できるホームネットワーク上にいる(そしてルーターが適切な保護を提供していると確信している)場合は、ソフトウェアファイアウォール(UFW)をオフにすることをお勧めします。

明らかに、パブリック/非信頼ネットワーク上にいる場合は、再びオンに切り替えてください。


パーソナルソフトウェアファイアウォールを実行しても害はありません。一般的には良い考えであり、ローカルネットワーク上の動作が不十分なマシンに対して「多層防御」を提供します。
オタクフェスト

ファイアウォールが同じように構成されている限り、同意します。ネットワーク問題の診断に費やした時間数は、2つのファイアウォールを発見するために費やした時間だけで、許可されている範囲を超えています
...-richzilla

1
LAN内:ファイアウォールなし。インターネットに面している:もちろんファイアウォール。接続先のコンピューターを信頼する方法に基づいてファイアウォールを設定します。
djeikyb

2

ファイアウォールをインストールすることをお勧めします。何もしないよりは常に何かが優れています。じゃないですか。Ubuntuには、デフォルトでファイアウォール「ufw」が付属しています。gufw(質問で言及)は、「ufw」のGUIに他なりません。

お役に立てれば。


1
ただ注意:iptablesはファイアウォールではありません。Netfilterは、Linuxカーネルの一部です。iptablesは、netfilterルールセットの変更/照会に使用されるコマンドラインユーティリティのみです。
LGB

別の間違った答え。
-psusi

ウィキペディアの@LGB:iptablesは、システム管理者がLinuxカーネルファイアウォール(異なるNetfilterモジュールとして実装)が提供するテーブルと、それが保存するチェーンとルールを設定できるユーザースペースアプリケーションプログラムです。今、私は混乱しています。
-theTuxRacer

@aneesheepこれは誤解を招くものだと思います。なぜなら、これは(netfilterへのインターフェースである)のuwfフロントエンドだからですiptables。iptablesがないとufwをインストールできません。
belacqua

友達を正しい方向に導いてくれてありがとう。回答からiptablesセクションを削除しました。
aneeshep

1

Ubuntuには、GUIツールで有効化されるデフォルトのファイアウォールも付属する必要があります。付属していないことに驚いています。iptablesが既に存在することは知っていますが、ルールはロードされていません。手動で実行するか、Firestarterなどをインストールして、基本を実行する必要があります。

ある日、ISPがDSLを有効にするたびに自分のパブリックIPを提供してくれることがわかったとき、私はとても驚きました。何回ヒット、sshログイン試行、その他のスキャン、MSエクスプロイト(ISPのIPで誰かがそれを実行していたのか)を想像してみてください。笑!:)


2
そして、あなたのマシンは、ファイアウォールを必要とせずにそれらすべてを非常に喜んで無視します。
-psusi

特定のポートでリッスンしているサービスがある場合、マシンは無視しません。実際、このマシンは接続を受け入れることを切望しています。
-theTuxRacer

1
@Kaustubh Pポートでリッスンしているサービスがある場合、接続を受け入れたい場合、ファイアウォールでそのポートを開きます。存在しない場合、そのポートへの接続を拒否します。
-psusi

1

定義により、ファイアウォールは、そうでなければ許可される通信をブロックします。デスクトップUbuntuマシンにはデフォルトで接続を受け入れるサービスがインストールされていないため、ファイアウォールがアクセスをブロックすることはありません。したがって、まったく役に立たない。

Windowsでファイアウォールが必要であると考えられる理由は、デフォルトでインストールされたいくつかのブレインデッドサービスが接続を受け入れ、相手が望まないことをコンピューターで行えるようにするためです。


「まったく役に立たない」-間違っている。ファイアウォールは、防御層を追加します。誤った情報も提供しているため、デフォルトのUbuntuインストールには一般公開されているサービスがあります。たとえば、UDPポート631でリッスンするCUPS(Common Unix Printing System)を提供します
。– Lekensteyn

1
他のポートを使用する新しいサービスをインストールする場合、ポートを閉じるか、ファイアウォールで規制しない限り、ポート開いたままになります。
-theTuxRacer

OPはデスクトップやサーバーについて言及していません。@Kaustubhが言うように、デスクトップシステム上であっても、元のセットアップから離れると、ポートが開かないという保証はありません。また、更新時にポートが誤って開いたままになることがあります。
-belacqua

@Lekensteyn:それは間違っていません。マニッシュが明確に説明された場所にリンクしている他の質問を読むことをお勧めします。ポートがすでに閉じられている場合、ポートを閉じるプログラムは役に立ちません。CUPSは、デフォルトでローカルホストからの接続のみを受け入れます。
-psusi

2
wiki.ubuntu.com/SecurityTeam/FAQ#UFWを参照してください。ufw を有効にしたい場合、それは簡単です。「sudoは有効UFW」
キースクック

1

ファイアウォールを持つIPv6の導入により、さらに重要になります。ほとんどのシステムがプライベートIP範囲で比較的安全であるIPv4とは異なり、IPv6デバイスは完全にアクセス可能です。

デフォルトの拒否ポリシーを備えたファイアウォールを持つことはさらに重要です。スキャンするデバイスを見つけることは、アドレスがまばらに使用されるため、より困難になります。リンクローカルアドレスにSMBなどのプロトコルを保持することは役立ちますが、魔法の弾丸にはなりません。

つまり、デフォルトのインストールでは、アクティブなファイアウォールは単なるセキュリティの追加レイヤーです。ポートを開くアプリケーションの多くは、動作するためにポートを開く必要があります。それらを保護するための追加の方法がすべてあります。必要に応じて、適切なレイヤーをすべて有効にします。

編集:アプリケーションがアクセスを制御できるようにすることや、ファイアウォールを持たないその他の理由について多くのコメントがありました。残念ながら、多くのアプリケーションにはアクセス制御がありません。他のユーザーはすべてのアドレスをリッスンするため、ファイアウォールは特定のインターフェイスからのアクセスを制限する唯一の方法になります。

前述したように、ファイアウォールはセキュリティの1つのレイヤーにすぎません。セキュアなアプリケーションも別の方法ですが、ユーザーがセキュアなアプリケーションのみを実行することを簡単に保証できません。ファイアウォールは、ユーザーを保護する1つの方法です。

完全に安全な合理的なセキュリティ対策はありません。多くのユーザーは、ファイアウォールを完全に理解するのに十分な関心や教育を受けていないかもしれませんが、それはファイアウォールを使用しない理由、またはファイアウォールを持たない理由ではありません。


3
ファイアウォールなしのデフォルトのポリシーは、接続を拒否することです。そのためにファイアウォールは必要ありません。ファイアウォールを使用して、受け入れようとしているサービスを既にインストールしている場合、ポリシーBACKを変更して拒否します。もちろん、それを行いたい場合は、最初に接続を受け入れるためにサービスをインストールしないでください。
-psusi

1
@psusi。サービスのアンインストールは、yes / noソリューションです。ファイアウォールを使用すると、きめ細かな制御が可能になります。
-BillThor

それはきめ細かい制御を可能にしますが、サービス自体は通常、さらにきめ細かい制御を可能にします。サービスをインストールするときに、別のツールを使用してサービスを制限するのではなく、目的の種類の接続を受け入れるようにサービスを構成します。また、サービスには適切なデフォルトが設定されているため、インストールすると、ローカルホストまたはローカルネットワークからの接続のみが受け入れられるため、ファイアウォールは不要です。
-psusi

@psusi付与されたサービスには、多くの場合、きめ細かい制御があります。しかし、一貫した方法で接続を切断すると、常にログに記録されるとは限りません。ファイアウォールは、一貫したログを提供できますが、他のログをスキャンすると便利です。ファイアウォールは、欠落しているサービスのプローブを記録することもできます。これにより、プロアクティブな方法で発信元ホストをブロックできます。
-BillThor

あなたの平均的なデスクトップユーザーは、そのようなことを知りませんし、気にしません。もちろん、特定のデーモンでは実行できないipchainsでできることはいくつかありますが、平均的なデスクトップユーザーが「必要」と考えることはありません。
-psusi

0

誰もが正しいです、注意して、おそらく何らかの保護を使用してください。あなたが何をするかに応じていくつかの面倒を作成できますが、その余分な面倒があなたを本当に保護していることに気付かないことがあります。

まったく邪魔にならない追加の保護を追加する方法の1つは、基本的にOpenDNSを調べることです。基本的には、基本的なインターネット使用のための優れた制御と追加のセキュリティ機能を追加するだけです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.